Aktivitäten bleibt leer aka und täglich grüßt das Murmeltier

Alle Fragen, die rund um Fail2Ban (Konfiguration, Fehler, Filter...) sind.
Antworten
Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Aktivitäten bleibt leer aka und täglich grüßt das Murmeltier

Beitrag von Django » 11. Jun 2014, 20:12

Ahoi Martin,

die Frage wurde zwar schon öfters gestellt, aber dennoch muss ich nochmal das Fass aufmachen.

In der Serverübersicht habe ich bei den Aktivitäten Attacken: 0 und Reports: 0 und das obwohl ich einen 250er bei meinen Einlieferungsversuchen von Deinem MX bekomme.

Code: Alles auswählen

Jun 11 20:52:23 vml000080 postfix/smtp[30353]: D854874: to=<fail2ban@blocklist.de>, orig_to=<f2b-reports@example.com>, relay=smtp-mx.blocklist.de[93.180.154.80]:25, delay=12, delays=12/0.01/0.32/0.26, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as A9DA6A14569B)
f2b-reports@example.com ist ein alias auf meinem MX, der die reportingmails an mehrere Ziele verteilt und auch seit heute an Euren MX. Selbst wenn ich versuchsweise exclusiv die fail2ban@blocklist.de eintrage, sehe ich in der Serverübersicht nix. :o Schaue ich mir die Email bei einem der anderen Empfänger an, so habe ich dort:

Code: Alles auswählen

Subject: [Fail2Ban] postfix-sasl: banned 186.215.174.252 from vml000080.dmz.example.com
Date: Wed, 11 Jun 2014 18:52:08 +0000
From: Fail2Ban <fail2ban@vml000080.dmz.example.com>
To: f2b-reports@example.com

....
Die Absende-Adresse hab ich auch im Feld AbsenderAdresse: bei der Serverdefinition eingetragen. Das sollte also passen.

Hast Du einen Tip auf Lager, warum meine Nachrichten zwar angenommen aber dann, aus meiner Sichtwarte aus, nicht weiter verarbeitet werden (können)?


ttyl
Django

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Martin » 11. Jun 2014, 20:30

Hi,

die Mails kommen an, können allerdings nicht verarbeitet werden, da diese keine Logfiles enthalten.

Bitte prüfe einmal die Fail2Ban-Einstellungen, ob die Sende-Option "sendmail-whois-lines" (mit -lines) ist und die korrekte Logdatei angegeben wurde (bei /pfad/logs/* macht Fail2ban glaub keine Logeinträge).
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Django » 11. Jun 2014, 20:50

HI Martin,

Keine Logfiles enthalten?

Also bei der letzten eMail von 21:38 Uhr habe ich am ende der eMail stehen:

Code: Alles auswählen

Lines containing IP:71.170.118.15 in /var/log/maillog

Jun 11 21:38:14 vml000080 postfix/smtpd[619]: connect from static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]
Jun 11 21:38:17 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jun 11 21:38:22 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jun 11 21:38:32 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Jun 11 21:38:42 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: Connection lost to authentication server
Jun 11 21:38:53 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: Connection lost to authentication server
Jun 11 21:38:54 vml000080 postfix/smtpd[619]: warning: static-71-170-118-15.dllstx.fios.verizon.net[71.170.118.15]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Das mit der Sende-Option "sendmail-whois-lines" kucke ich mir gleich noch an.

ttyl
Django

Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Django » 11. Jun 2014, 20:54

also die Option ist gesetzt:

Code: Alles auswählen

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s", chain="%(chain)s"]
             %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s, chain="%(chain)s"]
Kann aber gut sein, dass doie ersten Mails noch ohne waren! Aber die letzten Mails ab 19:00 Uhr waren alle mit den Logauszügen.

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Martin » 11. Jun 2014, 22:31

Hi,

wir haben nur die Mail von der Message-ID A9DA6A14569B geprüft.
Dort waren keine Logs enthalten:

Code: Alles auswählen

...
source:         APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS2)

Regards,

Fail2Ban
Seit ca. 17:45 Uhr sind zu deiner Absender-Adresse keine Fehler mehr im Log aufgetaucht.
Die Liste im Profil sollte daher bereits einige Attacken anzeigen (ist gecached).
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Django » 12. Jun 2014, 13:47

Griasde Martin!
Martin hat geschrieben: Seit ca. 17:45 Uhr sind zu deiner Absender-Adresse keine Fehler mehr im Log aufgetaucht.
Die Liste im Profil sollte daher bereits einige Attacken anzeigen (ist gecached).
Also, ich zwei Nachrichten für Dich, eine gute und eine schlechte. O.K., die gute zuerst. Die Attacken auf Postfix-SASL haben seit dem einsatz von fail2ban von mehreren 100 auf eine handvoll aktuell abgenommen. Soweit so gut.

Die schlechte ist, ich sehe weder einen Graphen noch eine mengenmäßige Auflistungen bei meiner Serverdefinition. Liegt vermutlich an meinem schlechten Karma! :lol: Oder hast Du eine bessere Erklärung?

Servus
Django

Benutzeravatar
Martin
Beiträge: 400
Registriert: 14. Sep 2010, 11:54
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Martin » 13. Jun 2014, 22:48

Hi,

das Problem ist, das die Mails per SRS umgeschrieben sind. Dadurch ist der "FROM"-Eintrag anders und stimmt nicht mit der E-Mailadresse aus dem Profil überein.
Wenn der srs-Tag immer gleich ist, reicht es aus im Profil die E-Mailadresse des Servers auf diese zu ändern:
SRS0+T8mg=3K=vml0.....
Mfg Martin
http://www.blocklist.de/de/ Fail2Ban Reporting Service

Django
Beiträge: 11
Registriert: 11. Jun 2014, 14:50
Wohnort: dahoam
Kontaktdaten:

Re: Aktivitäten bleibt leer aka und täglich grüßt das Murmel

Beitrag von Django » 19. Jun 2014, 11:18

HI Martin,

O.K., hab das setting entsprechend geändert und nun passt es. Danke für den Tip!


Servus
Django

Antworten